May 182012
Δημόσια Διαβούλευση Τακτικού Ανοικτού διαγωνισμού με τίτλο: «Ολοκλήρωση υφιστάμενου συστήματος e-university Λειτουργικών Υπηρεσιών του Πανεπιστημίου ΔΥΤΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ»
στα πλαίσια της ενταγμένης πράξης «Ψηφιακές Υπηρεσίες του Πανεπιστημίου Δυτικής Μακεδονίας» στον Άξονα προτεραιότητας «05-Ψηφιακή σύγκλιση & Επιχειρηματικότητα στο ΠΔΜ» του Ε.Π «Μακεδονία-Θράκη» Προγραμματική Περίοδος ΕΣΠΑ 2007-2013 (MIS 32747)
Σχετικά αρχεία:
Παρατηρήσεις επί των εγγράφων για
“Ολοκλήρωση υφιστάμενου συστήματος e-university Λειτουργικών Υπηρεσιών του Πανεπιστημίου ΔΥΤΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ”
από το Μηνά Δασυγένη (mdasygenis at uowm dot gr), ΤΜΠΤ
Μάιος 2012
Παρατηρήσεις στο έγγραφο RFP_Part_A_PDM:
Προσθήκη:
Να υπάρχει διασύνδεση με τον ιδρυματικό λογαριασμό. Σε περίπτωση που δεν έχει κάποιος ιδρυματικό λογαριασμό (π.χ. άλλος φορέας) να υπάρχει δυνατότητα δημιουργίας λογαριασμού από κατάλληλα εξουσιοδοτημένο άτομο σε ξεχωριστή βάση δεδομένων. Το σύστημα να υποστηρίζει ταυτόχρονα και τις 2 βάσεις δεδομένων.
Διαγραφή (σχετικές παρατηρήσεις στο έγγραφο C):
“Καθορισμός δικαιωμάτων πρόσβασης σε επίπεδο λειτουργικού συστήματος, βάσης δεδομένων και εφαρμογών.”
Προσθήκη στους φυλλομετρητές (google chrome), διαγραφή Netscape Navigator. Προσθήκη στα ΛΣ τα (android OS, Iphone OS).
“ο ανάδοχος θα πρέπει να λάβει υπόψη του:”
“τα διεθνή πρότυπα ασφαλείας (ISO27001:Information Security Standard, British Standard 7799)
Α4.ΧΧ: Υπηρεσιές δοκιμών ασφάλειας
Ο Ανάδοχος με την ολοκλήρωση της παράδοσης και εγκατάστασης του λογισμικού υποχρεούται να παραδώσει το σύστημα στο σύνολό του άριστα ελεγμένο ως προς την ασφάλεια των δεδομένων και του πληροφοριακού συστήματος. Ο Ανάδοχος οφείλει να συνεργαστεί με την ΕΠΠΕ να συνεργαστεί προκειμένου να γίνει εξωτερικός και εσωτερικός έλεγχος ασφάλειας του συστήματος, από ειδικευμένα άτομα εντός ή εκτός του πανεπιστημίου, να προβεί στις κατάλληλες ενέργειες διόρθωσης κενών ασφαλείας και να παραδώσει γραπτώς όλες τις ενέργειες που έκανε προκειμένου να διορθώσει τα προβλήματα.
Επίσης, να τονιστεί ότι θα πρέπει να υποστηρίζεται ενιαία μοναδική ταυτοποίηση (single-sign-on,SSO), ώστε κάποιος
χρήστης να κάνει μια φορά σύνδεση και να μπορεί να χρησιμοποιεί όσο διαρκεί η σύνοδος, όλα τα διαφορετικά συστήματα στα οποία έχει πρόσβαση.
Ακόμη, να τονιστεί ότι το πληροφοριακό σύστημα θα ανήκει στο Ίδρυμα και θα έχει τη δυνατότητα να το τροποποιήσει αν χρειαστεί χωρίς να απαιτείται η αγορά δικαιωμάτων ανάπτυξης.
Επιπρόσθετα, να υπάρχει μελέτη κλιμάκωσης, ώστε σε περίπτωση που αυξηθούν οι ανάγκες, να μπορεί ένα τμήμα του πληροφοριακού συστήματος να εκτελείται σε άλλους διακομιστές για καταμερισμό φορτίου (load balancing)
Παρατηρήσεις στο έγγραφο RFP_Part_C_PDM:
Προσθήκη:
“Αναφορά του μέσου αριθμού ερωτημάτων ανά φόρμα (sql queries / form) προκειμένου να μπορεί να εκτιμηθούν οι υπολογιστικές απαιτήσεις του συστήματος της βάσης δεδομένων.”
Προσθήκη:
“Θα πρέπει να μπορεί να ρυθμιστεί αυτοματοποιημένη περιοδική διαδικασία αντιγράφων ασφαλείας της βάσης και των αρχείων του συνόλου του λογισμικού καθώς και των αρχείων που θα δημιουργήσουν ή αποθηκεύσουν οι χρήστες χρησιμοποιώντας το λογισμικό σε (α) τοπικά αρχεία και (β) σε απομακρυσμένο μηχάνημα. Θα πρέπει να υπάρχει δυνατότητα παρακολούθησης των
αντιγράφων (πότε έγινε και αν έγινε με επιτυχία ή αποτυχία), και ενημέρωσης σε περίπτωση αποτυχίας του διαχειριστή.
Προσθήκη:
“Δυνατότητα καταγραφής των SQL ερωτημάτων της βάσης, μαζί με την ημερομηνία, ώρα, και διεύθυνση IP του χρήστη, ώστε
σε περίπτωση κακόβουλής χρήσης να μπορεί ο διαχειριστής να αναλύσει το συμβάν”
“Δυνατότητα καταγραφής των συμβάντων (μόνο εισαγωγής (INSERT)) που περιλαμβάνει στοιχεία ενέργειας, χρονική σήμανση και στοιχεία χρήστη σε απομακρυσμένο μηχάνημα, ώστε σε περίπτωση αυθαίρετης τροποποίησης της βάσης να μη μπορούν να τροποποιηθούν από κακόβουλο χρήστη.”
“Δυνατότητα για εύρεση στο ιστορικό της καταγραφής, και φιλτράρισμα κατ΄ελάχιστον ανά χρήστη, συμβάν, ενέργεια, IP”
Το 14: να διαγραφεί το Netscape Navigator (δεν υπάρχει), να τροποποιηθεί “Windows” σε “Microsoft Windows XP και ανώτερα”, να προστεθεί το “Google Chrome” και να προστεθεί “Η εμφάνιση των σελίδων να είναι ίδια ανεξάρτητα του φυλλομετρητή”.
15:
“Οι σελίδες θα πρέπει να μην έχουν ασυμβατότητες με τα διεθνή πρότυπα, και θα πρέπει να μη βγάζουν σφάλματα κατά τον έλεγχο με προγράμματα επικύρωσης (validation) HTML/CSS”.
19:
“H περιγραφή να περιλαμβάνει ενδεικτικά γραφήματα πλέγματος (wireframes) των υπό ανάπτυξη σελίδων, φορμών ώστε να μπορεί να κριθεί η εργονομία τους”.
24:
Έλεγχος ορθότητας τιμών (τύπος δεδομένων, εκτός ορίων, ασυμφωνία) κατά την πληκτρολόγηση (client-side) και κατά την αποστολή στο διακομιστή (server-side).
30:
Είναι λάθος ασφαλείας να απαιτείται ο χρήστης της εφαρμογής να έχει λογαριασμό στο λειτουργικό σύστημα που βρίσκεται από κάτω.
(1) Δεν υπάρχει ανάγκη για τη χρήση του web περιβάλλοντος.
(2) Δημιουργείται ένα νέο πεδίο επίθεσης, με επίθεση στο επίπεδο
του λειτουργικού συστήματος.
(3) Έχει ως συνέπεια τμήμα της εφαρμογής να εκτελείται με αυξημένα δικαιώματα (διαχεριστή του λειτουργικού συστήματος), προκειμένου να μπορεί να δημιουργήσει χρήστη με συνέπεια, ένας κακόβουλος χρήστης που πάρει τον έλεγχο της εφαρμογής να έχει και έλεγχο του λειτουργικού συστήματος.
(4) Είναι διαφορετική η δημιουργία χρήστη σε windows ή σε linux ή σε freebsd ή σε windows, οπότε αυτό το κομμάτι απαιτεί σύνδεση με συγκεκριμένο ΛΣ.
==> Να καταργηθεί.
Σχέδιο ανάκαμψης ύστερα από καταστροφή (Disaster Recovery Plan ή Business Continuity Plan), στο οποίο θα αναγράφονται τα βήματα που απαιτούνται πριν και μετά μια καταστροφή (δεδομένων ή υλικού) προκειμένου να επανέλθουν όλες οι λειτουργίες των συστημάτων με όσο το δυνατόν μικρότερο χρόνο μη διαθεσιμότητας. Θα πρέπει να αναγράφονται οι διαδικασίες που πρέπει να κάνει ο διαχειριστής περιοδικά και του πως να επαληθεύεται η ορθή εκτέλεση
των ενεργειών καθώς και η σειρά των βημάτων που πρέπει να γίνουν άμεσα αμέσως μετά μια καταστροφή.
Επίσης να προστεθεί:
“Να υπάρχει αναφορά για τον αναλυτικό έλεγχο ασφάλειας και τη μεθοδολογία που ακολουθήθηκε (security auditing) εξωτερικά (χωρίς γνώση του κώδικα/δομής) και εσωτερικά (έχοντας πρόσβαση στον κώδικα), προκειμένου να διασφαλιστεί η όσο το δυνατόν καλύτερη ασφάλεια των δεδομένων, αφού θα υπάρχουν ευαίσθητα προσωπικά στοιχεία”.
3.
“Να παρέχεται τεκμηρίωση για κάθε διεπαφή”
Διασυνδεσιμότητα
Προσθήκη:
“Θα πρέπει να παραδοθούν όλα τα σχήματα των βάσεων δεδομένων (database schemes) που θα χρησιμοποιηθούν, όπου θα πρέπει να φαίνονται σχηματικά και να αναλύονται γραμματικά, όλοι οι πίνακες, οι στήλες των πινάκων (όνομα,τύπος,κωδικοποίηση), η περιγραφή της κάθε στήλης, οι συσχετίσεις των δεδομένων (relations), και το πρωτεύον κλειδί.
Βρίσκομαι στη διάθεσή σας για οποιαδήποτε άλλη πληροφορία.
Μπορώ να συμμετέχω και να συμβάλω παραγωγικά και στην επιτροπή αξιολόγησης και παρακολούθησης του συγκεκριμένου έργου.
Μηνάς Δασυγένης
RFP PART B Σας παρακαλούμε όπως λάβετε υπόψη σας τις παρακάτω παρατηρήσεις αναφορικά με το διαγωνισμό για το έργο:«Ολοκλήρωση υφιστάμενου συστήματος e-university Λειτουργικών Υπηρεσιών του Πανεπιστημίου ΔΥΤΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ»
1.Η φράση: «Τέλος το 50% του ανθρωποχρόνου που θα διατεθεί για το Έργο να καλύπτεται από μόνιμα στελέχη του υποψήφιου Αναδόχου (δηλ. ΜΕΡΙΚΟ ΣΥΝΟΛΟ 3.1 ≥ 50%)» να αντικατασταθεί με τη φράση: «Τέλος το 50% του ανθρωποχρόνου που θα διατεθεί για το Έργο να καλύπτεται από μόνιμα στελέχη του υποψήφιου Αναδόχου (δηλ. ΜΕΡΙΚΟ ΣΥΝΟΛΟ 3.1 ≥ 50%)».
Σας ευχαριστούμε πολύ.